■ 정부, SW 공급망 보안 가이드라인 마련(데이터넷, 2024.04.19.)
정부는 소프트웨어 공급망 보안 가이드라인을 KISA, NIPA, 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부・공공기관 및 민간 기업들이 활용할 수 있도록 널리 확산할 계획이다. 더불어 국내 중소기업이 SBOM 기반의 소프트웨어 공급망 보안 관리체계를 구축하고 자발적인 품질관리 활동을 통해 국산 소프트웨어의 품질을 높이고, 해외 무역장벽을 극복할 수 있는 자체 역량을 키워나갈 수 있도록 체계적으로 지원해나갈 계획이다.
■ “당한 지 모르고 당했다”…’현대판 트로이목마’ SW 공급망 공격 ‘비상'(뉴시스, 2024.04.20.)
SW 공급망 공격이 전세계 보안 당국을 위협하는 새로운 공격 수법으로 주목을 받고 있다. 일반적으로 SW는 과거 패키지 제품과 달리 한번 고객사나 이용자 PC에 설치되면 온라인을 통해 지속적으로 업데이트를 받는다. 서비스 개발사로부터 소비자에게 업데이트 파일이 배포되는 공급망을 이용해 SW 이용자들의 시스템을 해킹하는 공격이 바로 SW 공급망 공격이다. 개발사 시스템에 침투해 악성코드를 SW에 심어놓거나 납품·유통하는 과정, 취약점 패치·유지보수(업데이트) 과정에서 변조하는 형태가 있다.
■ 엑스게이트, 올해 자사 전제품 양자난수생성기 탑재 완료!(피플러스, 2024.04.22.)
AXGATE 양자암호는 양자역학의 원리를 이용하여 절대적인 보안성을 제공하는 혁신적인 암호화 기술로 기존 암호화 방식의 한계를 뛰어넘고 완벽한 보안성을 제공하는 새로운 암호화 기술입니다. 특히, 올해 자사 전제품 라인업에 양자난수생성기(QRNG) 탑재를 완료할 계획입니다. 엑스게이트는 보안 솔루션 관련 가상사설망(VPN)·방화벽(FW)·통합보안시스템(UTM) 솔루션 업체로 VPN 영역은 국내 시장 1위 업체로 평가받고 있습니다.
■ 과기정통부, ‘알뜰폰 보안 강화·활성화 방안’ 마련(디지털투데이, 2024.04.25.)
알뜰폰은 온라인 사이트를 통해 셀프로 개통할 때는 1단계에서 실명 확인을 하고, 2단계에서는 본인인증 과정을 거친다. 2단계 본인인증은 일반적으로 여러 사이트에서도 비슷하게 사용되는 것처럼 스마트폰을 이용한 본인 확인이다. 해커는 이 같은 특징을 악용해 2단계 ‘간편 본인 인증’ 과정에서 타인의 정보를 갈취해 인증 요청자가 아닌 제3자의 인증을 획득하고, 타인 명의의 스마트폰을 개통해 보이스피싱에 악용하고 있는 사례가 최근 발견되고 있다.
—
정부가 최근 소프트웨어(SW) 공급망을 노린 사이버 공격을 막기 위해 민간과 협력해 소프트웨어 자재명세서(SBOM) 가이드라인을 배포하고 디지털 보안을 강화를 위해 ‘SW공급망 보안 가이드라인 1.0’ 발표했는데요. SW 공급망 공격이 전세계 보안 당국을 위협하는 새로운 공격 수법으로 주목받고 있는 만큼 기업, 사회기반시설에 대한 피해 뿐만 아니라 모든 사물이 SW로 연결되는 초연결시대인 만큼 치명적인 사이버 위협이 되므로 이와 같은 당국의 노력이 필요한 것으로 보입니다.